تا کنون تا حدی می توانید در سیستمتان تغییراتی را ایجاد نمایید. و شاید یکی از اولین قوانینی که می خواهید تغییر دهید محدود کردن آدرس های IP ای است که می توانند به SSH دسترسی داشته باشند بجای اینکه آن ها را باز رها کنید تا هر کسی بتواند به آن ها دسترسی داشته باشد.

بنابراین بیایید قانون شماره ی 11 را ویرایش نماییم

که یکی از SSH های پورت مقصد است.

روی آیکون EDIT کلیک کنید تا پنجره ی زیر به نمایش در آید.

یکی از نکات مهمی که تا کنون به آن اشاره ای نشده است، کاربرد پورت های SOURCE و DESTINATION می باشد.

موردی که باید در Inbound Rules نگران آن باشیم مسئله ی Destination port است. این پورتیست که به آن اجازه می دهید ترافیک از طریقش وارد سیستم Issabel تان گردد.

تلاش برای قفل نمودن پورت منبع در Inbound Rules برای ترافیک خارجی ممکن نیست چرا که بنا به فاکتور های متعددی متفاوت خواهد بود. این کار در واقع هیچ گونه هدفی را دنبال نمی کند مگر پیچیده تر کردن قوانینتان.

بنابراین آنچه می خواهیم در ادامه به آن بپردازیم مثالیست در جهت محدود کردن دسترسی به SSH، به گونه ای که فقط از طریق آدرس 85.15.1.158  بتوان به آن دسترسی داشت. در نتیجه تنها تغییری که ایجاد می کنیم در قسمت Source Address است. سپس باید شکل زیر را مشاهده نمایید:

در انتها می توانید Subnet شماره ی /32 را مشاهده نمایید. در این مورد آدرس منبع را فقط به یک آدرس IP محدود می کند. اگر می توانستیم آن را به صورت دیگری بنویسیم به صورت 255.255.255.255/85.15.1.158 به نمایش در می آمد. بنابراین فقط یک اتصال از آن آدرس IP مشخص قادر خواهد بود که به SSH دسترسی داشته باشد.

اگر یک آدرس واحد نداشته باشید، اما می تواند آدرس IP  از یک Subnet مشخص باشد، می توانید Subnet را محدود نمایید، بنابراین اگر از 24/85.15.1.158 استفاده نماییم که مشابه نوشتن 255.255.255.0/85.15.1.158 است، هر آدرس IP ای که منطبق با الگوی 85.15.1.xxx   باشد می تواند به SSH دسترسی داشته باشد. این کار ایده آل و امن نیست، خصوصا اگر کنترل کاملی بر کل Subnetmask آن آدرس IP نداشته باشید

مورد دیگری که ممکن است از این گزینه استفاده کنید لزوما در SSH نیست، اما در قوانین SIP و RTP، خصوصا جاییکه Voice Provider از round robin ی که از 4 یا 5 سرور تشکیل شده تا از SIP Service استفاده نماید. شما باید بفهمید که چه محدوده ایست و Subnet ای با آن تطبیق دارد، این موضوع اجازه می دهد که به صورتی امن افرادی را که به پورت SIP دسترسی دارند محدود نماییم.

حال قبل از اینکه شروع به محدود کردن آدرس های IP تان نمایید، نفس عمیقی بکشید و تامل نمایید. چیزی که فراموش شده است، خصوصا اگر واسط اترنت سیستم Issabel تان به شبکه ی محلی متصل باشد، این است که با بستن دسترسی از طریق SSH در فایروال دسترسی خود از طریق شبکه محلی LAN را نیز قطع کنید.

بنابراین باید یک قانون Firewall جدید ایجاد نمایید، که مورد کنونی را برای دسترسی های خارجی از اینترنت و دومی را برای دسترسی به LAN استفاده نماید.

بنابراین یک قانون جدید می تواند به صورت زیر باشد

آدرس منبع، محدوده ی آدرس های IP شبکه ی محلی LAN است. حواستان باشد که از /24 استفاده کرده ایم، بنابراین هر Workstation ی در شبکه ام می تواند به SSH دسترسی داشته باشد.

من این قانون را ذخیره کرده و آن را در جای صحیح خود قرار می دهم.

در نتیجه قوانین به صورت زیر خواهند شد:

خواهید دید که دو قانون برای SSH وجود دارد، یکی برای Extenal Address و دیگری برای Internal Address. ممکن است فکر کنید که این شکل خیلی سنگین است و شما شکل ساده تر آن را در دیگر ابزارهای Firewall ی که تا کنون استفاده کرده ایددیده اید، اما این راهیست که جدول IP قوانین را handle می نماید.

به احتمال بسیار زیاد گام بعدی ای که باید طی کنید محدود کردن SIP به تعداد محدودی آدرس IP است. این نیز به روش مشابهی انجام می گیرد. اما مجددا به خاطر داشته باشید، اگر SIP تان را به یک آدرس خارجی محدود کنید، باید خودتان را آماده ی این اتفاق نمایید که همه ی گوشی های SIP سیستم Issabel از کار بیفتند. همچنین باید اطمینان حاصل نمایید که یک قانون internal را نیز تنظیم کرده اید و شامل RTP می باشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *